SW 보안약점 유형

CODEDRAGON Security/SecureCoding

반응형

   

소프트웨어 보안약점 유형

SW 보안약점은 입력데이터 검증 및 표현, 보안기능, 시간 및 상태, 에러 처리, 코드오류, 캡슐화, API오용 유형으로 분류

유형

내용

입력데이터 검증 및 표현

프로그램 입력값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식지정으로 인해 발생할 수 있는 보안약점

  • SQL 삽입,
  • 경로 조작 및 자원 삽입,
  • 크로스사이트 스크립트 등

보안기능

보안기능(인증, 접근제어, 기밀성, 암호화, 권한 관리 등)을 적절하지 않게 구현한 경우 발생할 수 있는 보안약점

  • 부적절한 인가,
  • 중요정보 평문저장,
  • 하드코드된 비밀번호

시간 및 상태

동시/거의동시 수행을 지원하는 병렬시스템 또는 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리할 경우 발생할 수 있는 보안약점

  • 경쟁조건: 검사시점과 사용시점(TOCTOU)

에러처리

에러를 처리하지 않거나 불충분하게 처리하여 에러정보에 중요정보(시스템 정보 등)가 포함될 때 발생할수있는 보안약점

  • 오류상황 대응 부재,
  • 오류 메시지를 통한 정보노출

코드오류

타입 변환오류, 자원(메모리 등)의 부적절한 반환 등과 같이 개발자가 범할 수 있는 코딩오류로 인해 발생할 수 있는 보안약점.

  

  • Null Pointer 역참조,
  • 부적절한 자원 해제

캡슐화

중요한 데이터 또는 기능을 불충분하게 캡슐화 했을 때 인가되지 않은 사용자에게 데이터가 누출될 수 있는 보안약점

  • 제거되지 않고 남은 디버거 코드
  • 시스템 데이터 정보노출

API 오용

  

의도된 사용에 반하는 방법으로 API를 사용하거나 보안에 취약한 API를 사용하여 발생할 수 있는 보안약점

  • DNS lookup에 의존한 보안결정